\section{IBM Site Protector Express}

\subsection{Installation}
Zur Installation des IBM Site Protectors war zunächst eine Reinstallation des
Microsoft SQL Server 2008 von der letzten Übung nötig. Dabei ist zu beachten,
dass der SQL Server als Default Instance installiert werden muss. Darüber hinaus ist es nötig, dass der
Server Agent Dienst als Local Service gestartet wird. 

Bevor die Installation des Site Protectors gestartet werden kann, müssen noch
folgende Änderungen vorgenommen werden:
\begin{enumerate}
	\item TCP/IP muss aktiviert werden
	\item der Port muss auf 1433 geändert werden
\end{enumerate}

Zur Konfiguration der genannten Einstellungen wird unter ``Start $\rightarrow$
Microsoft SQL Server 2008 R2 $\rightarrow$ Configuration Tools $\rightarrow$
SQL Server Configuration Manager'' der Manager gestartet werden.

In Abbildung \ref{fig:tcpip} ist die Einstellung für TCP/IP gezeigt. Mit
Rechtsklick auf ``TCP/IP $\rightarrow$ Eigenschaften'' kann der in Abbildung
\ref{fig:port} gezeigte Dialog geöffnet werden. Hier muss der Port auf 1433
geändert werden.

\begin{figure}[!h]
		\includegraphics[width=15cm]{screens/tcpip.png}
	\caption{TCP/IP Einstellungen für SQL Server 2008}
	\label{fig:tcpip}
\end{figure}

\begin{figure}[!h]
		\includegraphics[width=10cm]{screens/port.png}
	\caption{Port-Einstellungen für SQL Server 2008}
	\label{fig:port}
\end{figure}

Bricht die Installation (wie in unserem Fall) während der Installation ab,
müssen außerdem noch auf den Ordner C:$\backslash$Programme$\backslash$ISS
Schreibrechte für den lokalen Benutzer eingerichtet werden.

Die Installationslogs mit den genauen Fehlermeldungen finden sich unter
C:$\backslash$Users$\backslash$Administrator$\backslash$AppData$\backslash$
Local$\backslash$Temp$\backslash$ISS.
\clearpage 
\subsection{Konfiguration}
Nach der Installation kann die Site Protector Konsole über das Desktop-Icon
gestartet werden. Dabei ist wichtig, dass beim Agent Type Proventia Desktop
gewählt und als Version 9.0 eingestellt wird.

Als erstes sollen Policies eingerichtet werden. Dazu wird auf der rechten Seite
aus dem Dropdown Menü der Eintrag Policy gewählt.

Danach wird zunächst eine neue Policy mit Rechtsklick auf das Policy
Repository angelegt. Diese Policy wurde DEFAULT genannt und folgendermaßen konfiguriert:
\begin{enumerate}
	\item Eine Testregel für die Firewall wurde eingerichtet, die Ping-Requests auf
	den Rechner blockiert. Diese Konfiguration dieser Regel ist in Abbildung
	\ref{fig:icmp} zu sehen.
	\item Um die Funktionalität zu prüfen, wurde zusätzlich eine strenge Regel
	eingerichtet, die nur HTTPS zulässt und HTTP gänzlich verbietet. Da unser Unternehmen
	kritische Daten über das Internet austauscht, ist diese Regel sinnvoll. Der
	Mitarbeiter soll nicht in einem Internet Café über HTTP Daten austauschen
	können.
	\item Die Buffer Overflow Prevention ist wie in Abbildung \ref{fig:boep} zu
	sehen standardmäßig schon aktiviert.
	\item Das IPS ist ebenfalls standardmäßig aktiviert.
	\item Die lokale GUI wurde unter Administrative Settings $\rightarrow$ Group
	Configuration $\rightarrow$ Shared Configuration mit ``Install local desktop
	GUI'' aktiviert.
	\item Der Installationspfad wurde wie in Abbildung \ref{fig:path} gezeigt
	angepasst, um keine neuen Programme Ordner auf Deutschen XP Installationen zu erzeugen.
	\item Wenn der Agent sich im Firmennetz befindet, sollen andere Settings
	gelten. Dafür wird unter Adaptive Policy Settings die Policy eingestellt, die
	gilt, wenn der Server kontaktiert werden kann. Diese Policy erlaubt ICMP und
	alle TCP-Verbindungen.
\end{enumerate}

\begin{figure}[h!]
		\includegraphics[width=10cm]{screens/iss-icmp.png}
	\caption{ICMP Testregel}
	\label{fig:icmp}
\end{figure}

\begin{figure}[h!]
	\centering
		\includegraphics[width=1.00\textwidth]{screens/iss-boep.png}
	\caption{Buffer Overflow Exploit Protection}
	\label{fig:boep}
\end{figure}

\begin{figure}[h!]
	\centering
		\includegraphics[width=1.00\textwidth]{screens/iss-installpath.png}
	\caption{Install path}
	\label{fig:path}
\end{figure}
\clearpage
Wichtig ist auch immer, dass beim Speichern gleich auch die Checkbox für das
Deployment aktiviert wird.

Anschließend wird eine neue Group Settings Policy angelegt. Hier muss bei
Manager List der Manager angegeben werden, der verwendet wird. Abbildung
\ref{fig:group} zeigt den genannten Konfigurationsdialog.

\begin{figure}[h!]
	\centering
		\includegraphics[width=1.00\textwidth]{screens/iss-groupsettings.png}
	\caption{Groupsettings}
	\label{fig:group}
\end{figure}

Im nächsten Schritt wird im Drop Down Menü Agent gewählt. Hier wird mit
Rechtsklick auf den Client Ordner ein neuer Agent Build wie in Abbildung
\ref{fig:build} gezeigt erstellt.

\begin{figure}[h!]
		\includegraphics[width=10cm]{screens/iss-build.png}
	\caption{Agent Build erstellen}
	\label{fig:build}
\end{figure}

Die fertige Datei kann unter \url{https://172.16.10.10:8085} heruntergeladen
werden. Diese wurde dann auf dem XP-Client installiert.

Der Agent wurde heruntergeladen und auf dem XP-Client installiert. Nach der
Installation ist wie erwartet HTTP nicht mehr möglich, aber HTTPS Requests
schon.

Abbildung \ref{fig:agentsig} zeigt die Ansicht der definierten Regeln des
Agents.

\begin{figure}[h!]
		\includegraphics[width=10cm]{screens/agent.png}
	\caption{Verifikation der Firewallregeln im Agent}
	\label{fig:agentsig}
\end{figure}
\clearpage
\subsection{Probleme mit Signaturen beheben}
In diesem Abschnitt wurde angenommen, dass es Probleme mit zwei Signaturen gibt.
Um diese zu beheben wurden die genannten Schritte gesetzt.

\subsubsection{Signatur blockiert Webserver}
Es wird angenommen, dass die Signatur ``JavaScipt\_WScript\_Shell\_Object'' eine
WebApp auf dem internen WebServer blockiert. Um dieses Problem zu lösen wurde
die Policy im Corporate Netzwerk folgendermaßen modifiziert: Unter ``Network
Protection $\rightarrow$ Adaptive Policy Settings $\rightarrow$ Corporate
Network $\rightarrow$ Intrusion Prevention Settings $\rightarrow$ Custom IPS
parameters'' wurde die in Abbildung \ref{fig:jssig} gezeigte Änderung vorgenommen. Der
Parameter trust.pair definiert zu welchem Host (in unserem Fall dem WebServer)
vertraut wird. Die Signatur für ``JavaScipt\_WScript\_Shell\_Object'' ist damit in
unserem Fall nur für den WebServer freigeschalten.

\begin{figure}[h!]
	\centering
		\includegraphics[width=1.00\textwidth]{screens/jssig.png}
	\caption{Ausnahme für ``JavaScipt\_WScript\_Shell\_Object''}
	\label{fig:jssig}
\end{figure}

\subsubsection{Internet Explorer löst BOEP-Signatur aus}
Es wird nun angenommen, dass der Internet Explorer eine BOEP-Signatur auslöst.
Um dieses Programm auszunehmen, kann die in Abbildung \ref{fig:boepexcl}
gezeigte Änderung vorgenommen werden.

\begin{figure}[h!]
	\centering
		\includegraphics[width=1.00\textwidth]{screens/iss-build.png}
	\caption{Ausnahme für Internet Explorer}
	\label{fig:boepexcl}
\end{figure}
